top of page

Lei Geral de Proteção de Dados: Transferência Internacional de Dados Pessoais

Foto do escritor: Victor Vieira AdvocaciaVictor Vieira Advocacia

Antes da edição da LGPD, o Brasil não era considerado uma referência para os setores produtivos que demandavam a transferência internacional de dados. Vale destacar que o Brasil foi um dos últimos países signatários da Convenção das Nações Unidas sobre os Contratos de Compra e Venda Internacional de Mercadorias (CISG).


O Marco Civil da Internet foi o primeiro diploma legislativo que começou a delinear os direitos dos usuários no que diz respeito à transferência internacional de dados. Antes da criação da LGPD, o Marco Civil da Internet se apresentava como a única lei infraconstitucional que estabelecia dispositivos que tratavam especificamente de dados pessoais nas redes. Vejamos o que dispõe a Lei Nº 12.965/14, em seu art. 11:

"Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. § 1o O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil. § 2o O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil. § 3o Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações. § 4o Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo. (BRASIL, 2014)"

Conforme dispõe o Marco Civil, é aplicável a legislação brasileira sobre qualquer ato relacionado à transferência internacional de dados, nas situações em que pelo menos um deles se materialize ou produza efeitos no território nacional. Além disso, mesmo que o tratamento de dados seja realizado por pessoa jurídica sediada em país estrangeiro, desde que esta oferte serviço aos brasileiros ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil, é aplicável a legislação brasileira.

Entretanto, apesar de o Brasil ter o Marco Civil da internet como legislação pioneira no mundo no que diz respeito à governança da Internet, o país não dispunha de uma legislação que tratasse especificamente e pormenorizadamente de como se daria a transferência internacional de dados, problema que foi solucionado pela LGPD, em seu Capítulo V.

Os requisitos e as hipóteses para a transferência internacional de dados estão previstos no Capítulo V, art. 33 e seguintes da LGPD. Conforme art. 33 da LGPD, a transferência internacional de dados só é permitida em nove hipóteses que são tratadas nos nove incisos do referido artigo. Desse modo, entende-se que o rol do art. 33 é taxativo. A primeira hipótese, prevista no inciso I do art. 33, é aquela que prevê a possibilidade de transferência de dados para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD. O critério aqui, portanto, é geográfico e leva em consideração os potenciais riscos a que os dados estão submetidos quando entrarem no país de destino.

A adequação do grau de proteção leva em conta a legislação doméstica de cada país bem como os tratados e convenções internacionais de que o Estado destinatário é signatário. Ademais, pela letra da lei, a hipótese prevista no inciso I não considera as providências que podem ser tomadas pela iniciativa privada para a proteção dos dados transferidos em nível internacional.

A segunda hipótese de transferência, prevista no inciso II do art. 33, ocorre quando o controlador dos dados oferece e comprova que garante o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de: (i) cláusulas contratuais específicas para determinada transferência; (ii) cláusulas padrão contratuais; (iii) normas corporativas globais; e (iv) selos, certificados e códigos de conduta regularmente emitidos.

O inciso III do art. 33 traz a terceira hipótese, que se dá nos casos de necessidade de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, conforme os instrumentos de direito internacional. Essa hipótese rege, portanto, a transferência internacional de dados para fins de investigações conduzidas em outros Estados.

Essa hipótese é de fundamental importância, tendo em vista o crescimento do número de ocorrências de crimes cometidos na internet bem como a descentralização da rede e da hospedagem de serviços digitais em outros países. Com efeito, as características da internet (descentralização e distribuição por diversos Estados) impõem às autoridades grandes desafios quando se trata de investigar, julgar e punir uma conduta criminosa, sendo extremamente necessária a cooperação internacional. Isso porque a prova da materialidade e autoria de um crime pode encontrar-se em um computador que esteja a milhares de quilômetros de onde os efeitos do crime foram sentidos, ou de onde a conduta deve ser julgada.

A quarta hipótese, disposta no inciso IV do art. 33, é a que prevê a transferência de dados quando estes forem necessários para a proteção da vida ou da incolumidade física do titular ou de terceiro, ainda que o nível de proteção de dados do local de destino seja inferior ao brasileiro. O dispositivo aqui mencionado visa à tutela da pessoa humana e deve ser visto como necessário à proteção da vida ou integridade física de brasileiros que se encontram em situação de perigo no exterior. Como exemplo de sua aplicação, podemos citar a transferência de registros médicos para um país onde o titular desses registros tenha sofrido um acidente e precisa do histórico médico para que seja feito o prognóstico adequado.

A quinta hipótese de transferência internacional é a que se dá com a autorização da autoridade nacional. Conforme já foi abordado anteriormente neste estudo, às vésperas do final de 2018, em 28 de dezembro, a Presidência da República editou a Medida Provisória (MP) nº 869/2018, que estabeleceu a criação da ANPD e alterou alguns outros pontos da LGPD.

A criação da ANPD tem o fim de adequar a legislação brasileira, no que diz respeito à proteção de dados, aos padrões internacionais, verificados, especialmente, no quadro da Organização para Cooperação e Desenvolvimento Econômico (OCDE) e em países da União Europeia (UE), onde as “autoridades” em questão foram criadas e já até entraram em operação. A ANPD será um órgão da Administração Pública Federal, vinculado à Presidência da República, terá autonomia técnica e a função de zelar, implementar e fiscalizar o cumprimento da LGPD.

A sexta hipótese ocorre quando a transferência resultar em compromisso assumido em acordo de cooperação internacional. Nesse sentido, vale destacar que, no cenário internacional, dois importantes tratados impõem ao Brasil o dever de transferir dados a outros Estados, quais sejam a Convenção das Nações Unidas contra o Crime Organizado Transnacional e a Convenção das Nações Unidas Contra a Corrupção.

A Convenção das Nações Unidas contra o Crime Organizado Transnacional, também conhecida como Convenção de Palermo, foi promulgada por meio do Decreto nº 5.015, de 12 de março de 2004. Ela foi aprovada pela Assembleia-Geral da ONU em 15 de novembro de 2000, data em que foi colocada à disposição dos Estados-membros para assinatura, e entrou em vigor no dia 29 de setembro de 2003.

Em seu art. 18, a Convenção de Palermo regula a assistência judiciária recíproca, mencionando expressamente que essa assistência pode ser solicitada para fornecer informações, elementos de prova e originais ou cópias autenticadas de documentos. Vejamos, in literis:

"Artigo 18 Assistência judiciária recíproca 1. Os Estados Partes prestarão reciprocamente toda a assistência judiciária possível nas investigações, nos processos e em outros atos judiciais relativos às infrações previstas pela presente Convenção, nos termos do Artigo 3, e prestarão reciprocamente uma assistência similar quando o Estado Parte requerente tiver motivos razoáveis para suspeitar de que a infração a que se referem as alíneas a) ou b) do parágrafo 1 do Artigo 3 é de caráter transnacional, inclusive quando as vítimas, as testemunhas, o produto, os instrumentos ou os elementos de prova destas infrações se encontrem no Estado Parte requerido e nelas esteja implicado um grupo criminoso organizado. 2. Será prestada toda a cooperação judiciária possível, tanto quanto o permitam as leis, tratados, acordos e protocolos pertinentes do Estado Parte requerido, no âmbito de investigações, processos e outros atos judiciais relativos a infrações pelas quais possa ser considerada responsável uma pessoa coletiva no Estado Parte requerente, em conformidade com o Artigo 10 da presente Convenção. 3. A cooperação judiciária prestada em aplicação do presente Artigo pode ser solicitada para os seguintes efeitos: a) Recolher testemunhos ou depoimentos; b) Notificar atos judiciais; c) Efetuar buscas, apreensões e embargos; d) Examinar objetos e locais; e) Fornecer informações, elementos de prova e pareceres de peritos; f) Fornecer originais ou cópias certificadas de documentos e processos pertinentes, incluindo documentos administrativos, bancários, financeiros ou comerciais e documentos de empresas; g) Identificar ou localizar os produtos do crime, bens, instrumentos ou outros elementos para fins probatórios; h) Facilitar o comparecimento voluntário de pessoas no Estado Parte requerente; i) Prestar qualquer outro tipo de assistência compatível com o direito interno do Estado Parte requerido. 4. Sem prejuízo do seu direito interno, as autoridades competentes de um Estado Parte poderão, sem pedido prévio, comunicar informações relativas a questões penais a uma autoridade competente de outro Estado Parte, se considerarem que estas informações poderão ajudar a empreender ou concluir com êxito investigações e processos penais ou conduzir este último Estado Parte a formular um pedido ao abrigo da presente Convenção.5. A comunicação de informações em conformidade com o parágrafo 4 do presente Artigo será efetuada sem prejuízo das investigações e dos processos penais no Estado cujas autoridades competentes fornecem as informações. As autoridades competentes que recebam estas informações deverão satisfazer qualquer pedido no sentido de manter confidenciais as referidas informações, mesmo se apenas temporariamente, ou de restringir a sua utilização. Todavia, tal não impedirá o Estado Parte que receba as informações de revelar, no decurso do processo judicial, informações que inocentem um argüido. Neste último caso, o Estado Parte que recebeu as informações avisará o Estado Parte que as comunicou antes de as revelar e, se lhe for pedido, consultará este último. Se, num caso excepcional, não for possível uma comunicação prévia, o Estado Parte que recebeu as informações dará conhecimento da revelação, prontamente, ao Estado Parte que as tenha comunicado. (...)"(ONU, 2000, grifo do autor).

Conforme se observa no artigo 18, § 2º, a transferência também poderá ocorrer quando o investigado ou processado for uma pessoa jurídica, o que foge ao escopo da LGPD, que tutela os dados pessoais.

Com efeito, o artigo 18, § 4º da Convenção faculta aos Estados a possibilidade de transferir informações não solicitadas, quando acreditarem que esses dados poderão ajudar na condução de investigações e processos penais em curso em outros países. A Convenção das Nações Unidas Contra a Corrupção (United Nations Convention against Corruption, UNCAC) foi promulgada em 31 de outubro 2003 e entrou em vigor em 14 de dezembro de 2005. No Brasil, foi aprovada por meio do decreto n.º 5.687, de 31 de janeiro de 2006. A convenção tem 71 artigos, separados em oito capítulos cujos mais importantes tratam dos temas da prevenção, penalização, recuperação de ativos e cooperação internacional.

O capítulo que trata da cooperação internacional destaca que todos os aspectos dos esforços anticorrupção carecem de cooperação internacional, tais como a assistência legal mútua na coleta e transferência de evidências e ações conjuntas de investigação e rastreamento.

Em seu art. 46, § 1º, a UNCAC prevê que os Estados prestarão ampla assistência judicial, de forma recíproca, relativa às investigações, processos e ações judiciais relacionados com os delitos tipificados na própria Convenção. Como acontece com a Convenção de Palermo, a UNCAC apresenta uma lista de possíveis pedidos de assistência judicial, entre os quais estão a apresentação de documentos judiciais, informações e elementos de prova e a entrega de documentos originais ou cópias, entre eles documentos públicos, bancários e financeiros.

Para aumentar a eficácia da aplicação da lei e estabelecer canais de comunicação para assegurar o intercâmbio rápido de informações sobre todos os aspectos dos crimes abrangidos pela convenção, os Estados Partes deverão cooperar entre si. Além disso, os Estados devem possibilitar a utilização de técnicas especiais de investigação, por exemplo, a vigilância eletrônica e outras formas de operações sigilosas, além de permitir a admissibilidade das provas obtidas por meio dessas técnicas nos tribunais.

A sétima hipótese é a prevista no inciso VII e dar-se-á quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 da LGPD, que prevê o seguinte:

"Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; (BRASIL, 2018)."

O inciso VII tem o escopo de delimitar a margem de liberdade que tem o agente público, que poderá decidir pela necessidade de transferência de dados em consonância com a implementação de uma política pública e o cumprimento de obrigações legais, observada a publicidade da transferência. Com isso, o art. 33, VII, faz com que a transferência de dados para locais não seguros seja uma parte integrante do funcionalismo público, o que pode ameaçar a efetividade do inciso I do mesmo artigo.

A oitava hipótese ocorrerá quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades. Tal consentimento, nos termos do art. 5º, inciso XII, é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Conforme disposição do art. 7º da LGPD, o tratamento de dados poderá ser realizado quando houver consentimento do titular. Entretanto, consoante art. 8º, esse consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Assim, parte-se do seguinte pressuposto: desde que as circunstâncias de uso e tratamento de dados sejam pormenorizadamente explicadas, o usuário, e titular dos dados, terá condições suficientes para autorizar ou não a transferência de suas informações pessoais.

Nessa ordem de ideias, é importante destacar o consentimento que se dá por meio dos famosos “Termos e Condições de Uso” e das “Políticas de Privacidade”. As informações sobre o tratamento de dados prestadas por meio desses termos ou políticas de privacidade, muitas vezes, são veiculadas no meio de textos volumosos, extremamente detalhados e recheados de termos técnicos, a exemplo dos termos usados nas redes sociais.

Fato é que os referidos “Termos e Condições de Uso” e as “Políticas de Privacidade” são deliberadamente ignorados pelos usuários. Assim, em que pese o fato de o usuário ter acesso às informações constantes dos referidos documentos, ele acaba escolhendo por ignorar as condições a que seus dados estão sendo submetidos. Com efeito, aceitar os termos não necessariamente significa que houve a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Ocorre que estudos demonstram que 91% dos usuários confirmam os termos de uso sem sequer ler seu conteúdo (MCDONALD; CRANOR, 2008, p. 565). Não é à toa que o número de usuários que não leem os termos de uso é grande. Isso porque, conforme destacado acima, os termos são complexos e longos. A título de exemplo, a leitura dos termos de uso dos oito principais serviços acessados na internet, como Google, Facebook e WhatsApp, demandaria aproximadamente quatro horas e meia (FOLHA TEC, 2017).

Ciente disso, em 2009, uma loja online britânica fez uma brincadeira com os seus clientes, colocando nos seus termos e condições de uso o seguinte: “Ao fazer uma compra neste site, você nos concede o direito intransferível, agora e para sempre, de propriedade da sua alma” (FOLHA TEC, 2017). É claro que a cláusula é abusiva e totalmente nula. Entretanto, ela chama a atenção para a importância de sabermos com o que estamos consentindo, quais os dados estamos disponibilizando online e para qual finalidade.

O problema aumenta com o aumento da oferta de aplicativos para smartphone e a capacidade de coleta de informação que os celulares têm. Uma coisa é certa, se o aplicativo é “grátis”, o preço está embutido nos dados que são coletados.

O livro "Terms of Service and Human Rights" analisou contratos de 50 serviços disponibilizados na internet. Em 43 deles, uma eventual resolução de conflitos era delimitada a um lugar específico, normalmente a Califórnia. Treze deles proibiam ações coletivas. Ambas as situações poderiam ser entendidas como abusivas no Brasil e não teriam validade aqui, posto que a LGPD tem alcance extraterritorial.

A nona e última hipótese trata da possibilidade de transferência quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º, que prevê que o tratamento de dados pessoais somente poderá ser realizado para o cumprimento de obrigação legal ou regulatória pelo controlador; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) (BRASIL, 2018).

REFERÊNCIAS


BRASIL. Lei nº 12.956, de 23 de Abril de 2014. Marco Civil da Internet. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Presidência da República, Brasília, DF. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 01 maio de 2019. _______. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Presidência da República, Brasília. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 01 maio de 2019. FOLHA TEC (Ed.). Leitura de 'termos e condições' de serviços na internet exige 4,5 horas. 2017. Disponível em: <https://nic.br/noticia/na-midia/leitura-de-termosecondicoes-de-servicos-na-internet-exige-4-5-hora.... Acesso em: 02 jun. 2019. MCDONALD, AM.; CRANOR, LF. The Cost of Reading Privacy Policies. Journal of Policy for Information Society, Vol. 4, 2008. ONU. ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Convenção das Nações Unidas contra o Crime Organizado Transnacional, 15 novembro 2000. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2004-2006/2004/decreto/d5015.htm >. Acesso em: 21 mai. 2019.

2 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page